Die Mitarbeiter:innen der Universität Luxemburg (im Folgenden „die Universität“) erheben und verarbeiten im Rahmen ihrer Forschungs-, Lehr- und Verwaltungsaufgaben große Mengen an personenbezogenen Daten.

Diese Richtlinie (im Folgenden „die Richtlinie“) ist Teil der Verpflichtung der Universität zum Schutz der von ihren Mitarbeiter:innen verarbeiteten personenbezogenen Daten und der personenbezogenen Daten ihrer Mitarbeiter:innen. Der Begriff „Verarbeitung“, wie er an der Universität verwendet wird, ist sehr weit gefasst und umfasst Aktivitäten wie das Sammeln, Speichern, Abfragen, Ändern, Weitergeben (einschließlich Veröffentlichung) und Vernichten von Daten.

Die europäischen und luxemburgischen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dieser Daten (im Folgenden „Datenschutzvorschriften“ genannt) gelten für die Verarbeitung aller dieser personenbezogenen Daten.

Der Zweck dieser Richtlinie besteht darin, Regeln und Anleitungen zu geben, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Verantwortliche und Auftragsverarbeiter wie die Universität sind verpflichtet, die Datenschutzrichtlinie strikt einzuhalten.

Jeder Mitarbeiter, Hauptprüfer eines Forschungsprojekts, Abteilungsleiter in der Zentralverwaltung oder Verwaltungsmitarbeiter innerhalb einer Fakultät oder eines interdisziplinären Zentrums hat die grundlegende Verpflichtung, personenbezogene Daten zu schützen und bei der Erfüllung seiner Aufgaben die Datenschutzrichtlinie einzuhalten.

Die in dieser Richtlinie verwendeten Begriffe sind im Anhang – Glossar auf dieser Seite definiert.

Die Ziele dieser Politik sind die folgenden:

• Unterstützung des Universitätspersonals bei der frühzeitigen Erkennung der Verarbeitung personenbezogener Daten und Bereitstellung von Leitlinien;
• Gewährleistung, dass angemessene Verfahren für die Verarbeitung und Verwaltung personenbezogener Daten vorhanden sind;
• Information und Schulung der Mitarbeiter:innen über ihre Verantwortung bei der Speicherung und Verarbeitung personenbezogener Daten und Sicherstellung, dass sie geeignete Maßnahmen ergreifen;
• Personen versichern, dass ihre personenbezogenen Daten in Übereinstimmung mit der Datenschutzrichtlinie verarbeitet werden, die besagt, dass ihre personenbezogenen Daten jederzeit sicher und vor unbefugtem Zugriff, Veränderung, Missbrauch oder Verlust geschützt sind;
• Sicherstellen, dass andere Organisationen, mit denen die Universität personenbezogene Daten austauscht, ebenfalls die Compliance-Anforderungen erfüllen;
• Garantieren, dass jedes bestehende oder zukünftige System, das von der Universität zur Verarbeitung personenbezogener Daten eingeführt wird, daraufhin geprüft wird, ob es ein Risiko für die personenbezogenen Daten von Personen darstellt und ob es angemessene technische und organisatorische Maßnahmen beinhaltet;
• • Sicherstellen, dass die Mitarbeiter:innen der Universität den Datenschutzbeauftragten bei allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten zeitnah kontaktieren;
• • Sicherstellen, dass die Mitarbeiter:innen der Universität die Verarbeitung personenbezogener Daten dokumentieren, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Die Datenschutzrichtlinie gilt für alle personenbezogenen Daten und alle damit verbundenen sensiblen Daten, unabhängig von ihrem Format (elektronisch, auf Papier, audiovisuell usw.), die von der Universität bei der Durchführung ihrer Forschungs-, Lern- und Verwaltungstätigkeiten innerhalb der zentralen Verwaltung, der Fakultäten und der interdisziplinären Zentren gesammelt und verarbeitet werden.

Die Richtlinie gilt für alle festangestellten oder befristet beschäftigten Mitarbeiter:innen der Universität sowie für externe Mitarbeiter:innen wie Auftragnehmer, Berater, Dienstleister, Lehrbeauftragte, Gastprofessoren/Forscher, Gastprofessoren und angegliederte Professoren (im Folgenden als „Personal“ bezeichnet). Sie gilt für alle Mitglieder der Universität, ob bezahlt oder unbezahlt, einschließlich selbstfinanzierter Doktoranden.

Die Universität ist der für die Verarbeitung Verantwortliche, der Verarbeiter oder der Empfänger von personenbezogenen Daten, die im Rahmen von Forschungsprojekten, Lernaktivitäten und Verwaltungsaufgaben verarbeitet werden, wie z.B. die personenbezogenen Daten der folgenden betroffenen Personen:

• Natürliche Personen, die auf freiwilliger Basis an Forschungsprojekten teilnehmen und der Erhebung und Verarbeitung ihrer personenbezogenen Daten zustimmen;
• Natürliche Personen, deren personenbezogene Daten indirekt für die Zwecke eines Forschungsprojekts erhoben werden;
• Natürliche Personen, die eine Finanzierung für Forschung oder damit verbundene wissenschaftliche Aktivitäten, einschließlich Veranstaltungen, Seminare und Workshops, beantragt oder erhalten haben;
  • Ehemalige, derzeitige und künftige Mitarbeiter:innen;
  • Ehemalige, derzeitige und künftige Studierende;
  • Lieferanten, Berater, externe Geschäftspartner und andere Dritte, mit denen die Universität kommuniziert.

Die Verarbeitung personenbezogener Daten wird durch das luxemburgische Datenschutzgesetz vom 2. August 2002, durch die europäische Datenschutzrichtlinie 95/46/EG, die am 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (im Folgenden „EU“) ersetzt wurde, und durch alle neuen luxemburgischen Datenschutzgesetze, die zur Umsetzung der DSGVO erlassen werden, geregelt.

Dieser Rechtsrahmen wurde entwickelt, um die Freiheit und die Grundrechte des Einzelnen, insbesondere sein Privatleben, im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten zu schützen.

In Luxemburg ist die Commission Nationale pour la Protection des Données (CNPD, Nationale Kommission für Datenschutz) für die Durchsetzung dieser Vorschriften für die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter mit Sitz in Luxemburg zuständig.

Weiteres Material und Verweise finden Sie auf der CNPD-Website und auf den einschlägigen Websites der Europäischen Union oder durch Rücksprache mit dem Datenschutzbeauftragten der Universität (im Folgenden „DSB“).

• 5.1. Rechtmäßige Erhebung und Verarbeitung
  • Personenbezogene Daten werden nur in dem Umfang erhoben und verarbeitet, in dem sie zur Erfüllung von Forschungs-, Lern- oder Verwaltungsanforderungen (im Folgenden „Universitätsanforderungen“) oder gesetzlichen Anforderungen erforderlich sind.
  • Die personenbezogenen Daten sind korrekt und werden auf dem neuesten Stand gehalten.
  • Die Aufbewahrung personenbezogener Daten wird im Hinblick auf die Bedürfnisse der Universität und die gesetzlichen Anforderungen geprüft und einer Risikobewertung unterzogen, und es werden geeignete Zeitpläne für die Datenaufbewahrung angewendet. Die Dauer der Speicherung von personenbezogenen Daten sollte zu Beginn des Projekts festgelegt werden. Wenn es nicht möglich ist, die Aufbewahrungsfrist sofort zu bestimmen, sollten Kriterien verwendet werden, um die Frist zu einem späteren Zeitpunkt zu bestimmen.
  • Die Verarbeitung personenbezogener Daten erfolgt unter Wahrung der Rechte der betroffenen Personen.
  • Das Personal muss den DSB über jeden beabsichtigten neuen Zweck der Verarbeitung personenbezogener Daten informieren. Ein neuer Zweck für die Verarbeitung von Daten, der über den Umfang hinausgeht, für den die ursprüngliche Einwilligung erteilt wurde, darf nicht zugelassen werden, es sei denn, die betroffene Person hat diesem neuen Zweck zugestimmt oder das Einwilligungsformular sieht eine ausdrückliche Einwilligung für weitere Forschung vor.
  • Das Personal der Universität und die betroffenen Personen werden ausdrücklich über die Verwendung ihrer Daten informiert und darüber, wie mit ihren berechtigten Einwänden umgegangen wird. Falls gesetzlich vorgeschrieben, wird die Zustimmung der betroffenen Person(en) eingeholt und dokumentiert, wenn personenbezogene Daten erhoben werden.
  • Personenbezogene Daten werden nur in einer Weise verwendet, die die Vertraulichkeit dieser Daten gewährleistet (einschließlich einer angemessenen Anonymisierung oder Pseudonymisierung, wann immer dies erforderlich und technisch machbar ist).
  • Das Personal hat nur in dem Maße Zugang zu personenbezogenen Daten, in dem es für die Erfüllung seiner Aufgaben erforderlich ist.

• 5.2. Sicherheit

  Die Sicherheit personenbezogener Daten ist eine gesetzliche Anforderung, der die Universität voll und ganz verpflichtet ist:

  • Die Universität hat Richtlinien und Verfahren genehmigt, um die Sicherheit von Informationen/Daten in Gebäuden, Büros usw. zu gewährleisten.
  • Die Universität setzt Richtlinien für die Sicherheit ihrer IT-Systeme und für die physische Sicherheit sowohl von IT-Systemen als auch von manuellen bzw. Papierakten um. Dies gilt für personenbezogene Daten, die an der Universität gespeichert sind, sowie für die Übermittlung und Vernichtung dieser Daten.
  • Die Universität hält sich grundsätzlich an die Regel, dass der Zugriff auf personenbezogene Daten nur auf Personen beschränkt ist, die davon Kenntnis haben müssen.
  • Die Sicherheit und Vertraulichkeit personenbezogener Daten, die von einem externen Auftragsverarbeiter oder Partner verarbeitet werden, werden über Dienstleistungsvereinbarungen, Kooperationsvereinbarungen, Vereinbarungen über die gemeinsame Nutzung von Daten oder Datenverarbeitungsverträge, die eine Datenschutzklausel und/oder eine Datenschutzrichtlinie enthalten, geregelt. Der DSB sollte bei Bedarf zu solchen Vereinbarungen konsultiert werden.
  • Das Personal ist verpflichtet, mögliche Datenschutzverletzungen an das Serviceportal der Universität zu melden, sobald es davon Kenntnis erlangt, möglichst innerhalb von 24 Stunden und nicht später als 48 Stunden nach Entdeckung der Verletzung. Der Service Desk informiert den DSB über alle Fälle von Verletzungen des Schutzes personenbezogener Daten. Bestätigte Datenschutzverletzungen werden vom Chief Information Security Officer (im Folgenden „CISO“) und dem DSB dokumentiert. Es wird ein spezielles Verfahren eingeführt, um Verletzungen des Schutzes personenbezogener Daten zu behandeln, und es wird ein Register über Verletzungen des Schutzes personenbezogener Daten geführt.
  • Jeder Versuch, Teilnehmer an einem Forschungsprojekt durch Mitarbeiter:innen der Universität zu identifizieren, wird als Verstoß gegen die Richtlinie betrachtet, es sei denn, die Teilnehmer des Forschungsprojekts haben ihre ausdrückliche schriftliche Zustimmung gegeben, dass sie identifiziert und kontaktiert werden dürfen.
  • Jede Offenlegung oder Übermittlung sensibler oder personenbezogener Daten an unbefugte Personen und das Versenden sensibler oder personenbezogener Daten per E-Mail ohne angemessene Schutzmaßnahmen wie Verschlüsselung oder eine andere gleichwertige Maßnahme stellt einen Verstoß gegen die Richtlinie dar.
  • Die Verwendung privater E-Mail-Adressen durch Mitarbeiter:innen zum Senden oder Empfangen persönlicher oder sensibler Daten wird als Verstoß gegen die Richtlinie betrachtet.
  • Die Mitarbeiter:innen der Universität müssen Maßnahmen zum Schutz und zur Sicherung von Dokumenten mit persönlichen Informationen ergreifen und die Empfänger über die entsprechenden Maßnahmen informieren.
  • Die Verwendung von persönlichen Daten auf nicht von der Universität kontrollierten Geräten liegt in der Verantwortung des Benutzers. Die Sicherheitseinstellungen solcher Geräte sollten vom Benutzer regelmäßig gemäß den anerkannten Schutztechniken überprüft werden.
  • Die Verantwortung für den Schutz der Vertraulichkeit personenbezogener Daten erstreckt sich auf alle Personen und Institutionen, an die Informationen übermittelt werden. Die Universität nimmt in die einschlägigen Verträge (d.h. Dienstleistungsvereinbarungen, Kooperationsvereinbarungen und Vereinbarungen über die gemeinsame Nutzung von Daten) Bestimmungen auf, die besagen, dass alle von der Universität zur Verfügung gestellten personenbezogenen Daten unter der Voraussetzung erfolgen, dass der Empfänger sie sicher und vertraulich aufbewahrt und sie nur für den vereinbarten Zweck verwendet.
  • Auch pseudonymisierte Daten werden als personenbezogene Daten betrachtet. Die Verarbeitung pseudonymisierter Daten muss daher mit den Grundsätzen der Richtlinie übereinstimmen.

• 5.3. Register zum Schutz personenbezogener Daten

  Der behördliche Datenschutzbeauftragte führt ein Register zum Schutz personenbezogener Daten (im Folgenden „das Register“), um die an der Universität verarbeiteten personenbezogenen Daten zu identifizieren und zu erfassen, und zwar in Zusammenarbeit mit den Hauptprüfern, den Abteilungsleitern der zentralen Verwaltung und den Verwaltungsmitarbeiter:innen der Fakultäten und interdisziplinären Zentren. Insbesondere wird das Register dokumentieren, wo personenbezogene Daten gespeichert sind, wie sie verarbeitet werden, wer sie verarbeitet, welche rechtlichen Gründe für die Verarbeitung vorliegen, wer Zugang zu den Daten hat und welche Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit getroffen wurden. Jeder Hauptprüfer, jeder Abteilungsleiter in der Zentralverwaltung und jeder Verwaltungsmitarbeiter in einer Fakultät oder einem Forschungszentrum ist dafür verantwortlich, den DSB rechtzeitig über alle unter seiner Verantwortung verarbeiteten personenbezogenen Daten zu informieren, um das Register zu vervollständigen. Die Vervollständigung des Registers kann an einen Kollegen oder an den Datenschutzkoordinator der Abteilung delegiert werden. Das Register wird zur Verfügung der CNPD gehalten.

• 5.4. Data sharing

  Die gemeinsame Nutzung personenbezogener Daten muss den folgenden Regeln entsprechen:

  • Die Verfahren zur Weitergabe personenbezogener Daten auf elektronischem Wege müssen das Risiko unvorhergesehener Verstöße gegen die Informationssicherheit auf ein Minimum reduzieren. Allgemeine Anleitungen finden Sie in den Richtlinien der Universität zur Informationssicherheit, und spezifische Ratschläge können beim CISO angefordert werden.
  • Wenn ein Vertrag mit einer anderen Organisation für Dienstleistungen geschlossen wird, die die Weitergabe oder den Austausch von personenbezogenen Daten beinhalten, müssen darin die Datenschutzanforderungen und -standards, einschließlich Vertraulichkeit und Sicherheit, ausdrücklich festgelegt werden.
  • Personenbezogene Daten dürfen nicht außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, es sei denn, das betreffende Land oder Gebiet gewährleistet ein angemessenes Schutzniveau für personenbezogene Daten oder die Übermittlung erfolgt gegebenenfalls mit Zustimmung der betroffenen Person oder mit angemessenen und rechtlich zulässigen Garantien. Der DSB muss über jede Datenübermittlung außerhalb der EU und des EWR informiert werden und berät über angemessene Sicherheitsvorkehrungen.
  • Personenbezogene Daten dürfen in keinem Format an Dritte weitergegeben werden, es sei denn, es besteht eine gesetzliche Grundlage und/oder eine entsprechende Vereinbarung, und ohne die Zustimmung der betroffenen Person, wenn diese erforderlich ist.
  • In einigen Fällen kann die Entfernung von persönlichen Identifikatoren (Name, Nachname, Initialen usw.) allein nicht ausreichen, um die Identität einer betroffenen Person (z. B. eines Studienteilnehmers oder Mitarbeiters) zu schützen. Wenn die Anonymisierung als Bedingung für eine Weitergabe ohne Zustimmung herangezogen wird, müssen alle Informationen entfernt werden, die eine Identifizierung der betroffenen Person mit allen angemessenen Mitteln ermöglichen könnten.

• 5.5. Risikobasierter Ansatz und Datenschutz-Folgenabschätzung

  Die Universität unternimmt alle angemessenen Anstrengungen, um die Verarbeitung personenbezogener Daten zu kontrollieren und Schutzmaßnahmen zu ergreifen, die dem Risiko der Verarbeitung personenbezogener Daten angemessen sind. Wenn es sich um Aktivitäten handelt, die ein hohes Risiko für die betroffene Person darstellen, muss in Zusammenarbeit mit dem DSB und dem CISO eine Datenschutz-Folgenabschätzung (im Folgenden „DSFA“) durchgeführt werden. Eine DSFA ist ein Verfahren, das dazu dient, jede Datenverarbeitung zu beschreiben, die Notwendigkeit und Verhältnismäßigkeit einer solchen Verarbeitung zu bewerten, die Risiken, die sich aus der Verarbeitung personenbezogener Daten ergeben, zu beherrschen und die Freiheiten natürlicher Personen in diesem Zusammenhang zu schützen.

  Mit anderen Worten: Eine DSFA ist ein Verfahren zur Entwicklung und zum Nachweis der Einhaltung der Vorschriften, wenn die Verarbeitung personenbezogener Daten wahrscheinlich zu hohen Risiken für die Rechte und Freiheiten der betroffenen Personen führt. Eine DSFA soll helfen, das Risiko im Zusammenhang mit der Verarbeitung personenbezogener Daten zu bewerten und die Maßnahmen zu bestimmen, die zur Minderung dieses Risikos ergriffen werden müssen.

  Eine DSFA ist insbesondere in folgenden Fällen erforderlich:

  • bei einer systematischen und umfassenden Auswertung personenbezogener Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, basiert und auf der Entscheidungen beruhen, die rechtliche Auswirkungen auf die natürliche Person haben oder die natürliche Person in ähnlicher Weise erheblich beeinträchtigen;
  • bei der Verarbeitung besonderer Datenkategorien oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten in großem Umfang; oder
  • Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

  Die Universität wird die DSFA-Methode und -Vorlage über ein spezielles Verfahren in Übereinstimmung mit der DSGVO umsetzen.

• 5.6. Auskunftsrecht für betroffene Personen

  Die betroffenen Personen haben das Recht, ihre Rechte auszuüben, insbesondere das Auskunftsrecht, und zwar nach Maßgabe der folgenden Grundsätze:

  • Alle betroffenen Personen haben ein Recht auf Zugang zu ihren eigenen persönlichen Daten. Die Universität verpflichtet sich, die betroffenen Personen zu unterstützen und Informationen darüber bereitzustellen, wie sie ihre persönlichen Daten, die sich im Besitz der Universität befinden, anfordern oder einsehen können.
  • Die Formulare für die informierte Zustimmung müssen eine Kontaktadresse enthalten, an die sich die betroffenen Personen wenden können, wenn sie einen Antrag auf Auskunft stellen, ihre Zustimmung zurückziehen oder zusätzliche Informationen anfordern möchten.
  • Auskunftsersuchen werden bearbeitet und relevante Informationen werden der betroffenen Person innerhalb eines angemessenen Zeitrahmens zugestellt. Dieser Zeitraum sollte in Übereinstimmung mit der Richtlinie nicht mehr als einen Monat betragen.
  • Die personenbezogenen Daten einer betroffenen Person werden ihr erst dann mitgeteilt, wenn ihre Identität überprüft worden ist.
  • Ein Antrag auf Zugang ist nur für die persönlichen Daten des Antragstellers möglich. Ersuchen um Zugang zu personenbezogenen Daten Dritter dürfen nur erfüllt werden, wenn die betroffene Person ihre formelle Zustimmung gegeben hat.
  • Ersuchen der Polizei um Zugriff auf Informationen aus einer Datenbank der Universität, die personenbezogene Daten enthält, erfordern eine vorherige Rücksprache mit dem DSB, der die Rechtmäßigkeit des Ersuchens prüft und den Leiter der Rechtsabteilung konsultiert.

• 5.7. Andere Rechte betroffener Personen

  Betroffene Personen haben noch weitere Rechte: das Recht auf Information, das Recht auf Berichtigung sie betreffender personenbezogener Daten, das Recht auf Vergessenwerden (auch bekannt als Recht auf Löschung), das Recht auf Einschränkung der Verarbeitung personenbezogener Daten und das Recht auf Widerspruch.

  Um die Kontrolle über ihre eigenen Daten weiter zu stärken, müssen die betroffenen Personen im Falle einer automatisierten Verarbeitung personenbezogener Daten auch die Möglichkeit haben, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten, allgemein verwendeten, maschinenlesbaren und interoperablen Format zu erhalten, das die Datenübertragbarkeit ermöglicht.

• 5.8. Rechte der betroffenen Personen, deren personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden

  Die EU-Mitgliedstaaten sind durch die DSGVO ermächtigt, unter bestimmten Bedingungen und vorbehaltlich angemessener Garantien für die betroffenen Personen Spezifikationen und Ausnahmen in Bezug auf die Informationspflichten und Rechte auf Berichtigung, Löschung, Vergessenwerden, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch vorzusehen, wenn personenbezogene Daten für Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden. Diese Ausnahmen gelten, wenn personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, sofern diese Rechte die Erreichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen können und diese Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.

  Die Datenschutzgesetze in Luxemburg und anderen EU-Ländern sehen unter den in der DSGVO festgelegten Bedingungen Ausnahmen von den Rechten der betroffenen Person vor. Diese Datenschutzgesetze geben Auskunft über die angemessenen Garantien, die je nach Art, Umfang, Kontext und Zweck der Datenverarbeitung sowie je nach Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen anzuwenden sind. Geeignete Schutzmaßnahmen können Pseudonymisierungstechniken, vorherige Folgenabschätzung, Verschlüsselung, Zugangsbeschränkungen, Sensibilisierung und Datenverwaltungspläne umfassen.

  Es kann schwierig sein, eine ausdrückliche Zustimmung zur Verarbeitung personenbezogener Daten zu Forschungszwecken zu erhalten. In vielen Fällen ist der genaue Zweck der Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung zum Zeitpunkt der Datenerhebung nicht vollständig bekannt. Betroffene Personen sollten daher die Möglichkeit haben, ihre Zustimmung zu bestimmten Bereichen der wissenschaftlichen Forschung in Übereinstimmung mit anerkannten ethischen Standards zu erweitern.

  Im Zweifelsfall steht Ihnen der DSB beratend zur Seite.

• 5.9. Akademische Meinungsäußerung

  Die EU-Mitgliedstaaten sollten die Regeln für die freie Meinungsäußerung, einschließlich der akademischen Meinungsäußerung, mit dem Recht auf den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung in Einklang bringen. Für die Datenverarbeitung können Ausnahmen oder Befreiungen gelten, insbesondere in Bezug auf allgemeine Grundsätze, den Schutz der Rechte der betroffenen Person (z. B. das Recht auf Information) und die Übermittlung personenbezogener Daten in Drittländer.

  Abweichend von den allgemeinen Datenschutzgrundsätzen der Datenschutz-Grundverordnung ist die Verarbeitung personenbezogener Daten zum Zwecke der akademischen Meinungsäußerung in den EU-Mitgliedstaaten unter den in den erlassenen Rechtsvorschriften festgelegten Bedingungen zulässig.

  So können die EU-Mitgliedstaaten beispielsweise die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten zulassen und die Beschränkungen für die Übermittlung personenbezogener Daten an Drittländer aufheben. Die Mitgliedstaaten können unter bestimmten Bedingungen auch eine Abweichung vom Auskunftsrecht zulassen, wenn personenbezogene Daten indirekt erhoben wurden.

  Im Zweifelsfall steht Ihnen der DSB beratend zur Seite.

• 5.10. Sensibilisierung und Schulung

  Diese Richtlinie wird durch Sensibilisierungskampagnen für alle Mitarbeiter:innen der Universität und entsprechende Schulungen für diejenigen mit besonderen Verantwortlichkeiten unterstützt.

  Mitarbeiter:innen, die mit der Verarbeitung personenbezogener Daten befasst sind, werden darin geschult, wie diese Informationen sicher und vertraulich zu behandeln sind. Sie werden darüber informiert, welche Informationen sie in Übereinstimmung mit den Datenschutzbestimmungen außerhalb ihres unmittelbaren Arbeitsumfelds offenlegen dürfen und welche nicht.

  Die Richtlinie wird in das Schulungsprogramm für neue Mitarbeiter:innen aufgenommen.

  Mitarbeiter:innen, die mit sensiblen Daten umgehen, sollten an einer Schulung teilnehmen, bevor sie Zugang zu solchen Daten erhalten.

• 5.11. Aufbewahrung und Löschung

  Die Aufbewahrung personenbezogener Daten muss dokumentiert und begründet werden. Die Aufbewahrung personenbezogener Daten wird unter Berücksichtigung der Anforderungen der Universität und der rechtlichen Anforderungen beurteilt und einer Risikobewertung unterzogen, wobei geeignete Aufbewahrungszeitpläne angewendet werden. Personenbezogene Daten dürfen nur so lange in einer Form aufbewahrt werden, die eine Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die die Daten erhoben und verarbeitet wurden, erforderlich ist. Die betroffene Person wird über den Zeitraum informiert, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, über die Kriterien, nach denen dieser Zeitraum festgelegt wird.

• 5.12. Dokumentation

  Alle Verarbeitungen personenbezogener Daten sind eindeutig zu dokumentieren, um die Einhaltung der Richtlinie zu bestätigen. Diese Einhaltung muss bei Audits durch die CNPD oder andere Prüfer sowie bei Kontrollen durch den DSB nachgewiesen werden.

Die Gesamtverantwortung für den Datenschutz liegt gemäß dem Gesetz über die Organisation der Universität Luxemburg beim Rektorat und/oder dem Direktor für Verwaltung und Finanzen. Jedes Personalmitglied muss auch die Verantwortung für die Einhaltung der Richtlinie übernehmen. Personen mit besonderen Aufgaben sind unter anderem:

1) Der Datenschutzbeauftragte (DSB) hat eine strategische Rolle beim Datenschutz. Die Rolle des DSB besteht darin, die folgenden Aufgaben an der Universität zu erfüllen:

• Entwicklung von Datenschutzrichtlinien und bewährten Verfahren für Forschung, Lehre und Aktivitäten der zentralen Verwaltung;
• Schulung des Personals zum Thema Datenschutz;
• Bereitstellung von Ratschlägen, Richtlinien und Verfahren zur Verarbeitung personenbezogener Daten;
• Zusammenarbeit mit der Aufsichtsbehörde zusammen und Fungieren als Ansprechpartner;
• Informieren der Universitätsleitung über die Datenschutzanforderungen, Beratung zu jährlichen Verbesserungsplänen und Vereinbarung und Präsentation eines jährlichen Datenschutzberichts für das Managementteam;
• Unterstützung der Universität bei der Durchführung von DSFA;
• Implementierung und Pflege des Registers für den Schutz personenbezogener Daten der Universität als Verantwortlicher oder Auftragsverarbeiter auf der Grundlage von Informationen, die von den Hauptprüfern, den Abteilungsleitern in der zentralen Verwaltung und den Verwaltungsmitarbeitern in den Fakultäten und interdisziplinären Zentren bereitgestellt werden.

2) Der Chief Information Security Officer (CISO) ist ein strategischer Partner des DSB bei der Gewährleistung der Einhaltung der Richtlinie.

Der CISO ist verantwortlich für die Überwachung, Dokumentation und Kommunikation der Informationssicherheit, einschließlich des Umgangs mit Verstößen, sowie für die Einhaltung anerkannter Informationssicherheitsstandards durch das IT-Netzwerk. Er arbeitet mit dem DSB in Datenschutzfragen zusammen und meldet dem DSB alle ihm zur Kenntnis gebrachten Verletzungen des Schutzes personenbezogener Daten.

3) Abteilungsleiter in der Zentralverwaltung, Verwaltungsangestellte in Fakultäten oder interdisziplinären Zentren und Hauptprüfer sind verantwortlich für:

• Gewährleistung, dass die Mitarbeiter:innen verstehen, wie die Grundsätze des Datenschutzes auf ihre tägliche Arbeit anzuwenden sind, indem sie geschult und überwacht werden, und Überwachung der Einhaltung der Grundsätze in ihrem eigenen Verantwortungsbereich;
• Gewährleistung, dass Datenschutzkoordinatoren für ihre Abteilung oder ihr interdisziplinäres Zentrum ernannt wurden und dass sie mit Unterstützung des DSB und des CISO eine angemessene Schulung und Anleitung erhalten;
• Gewährleistung, dass in Ihrer Abteilung geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Datenschutzrichtlinie der Universität einzuhalten und Verletzungen des Schutzes personenbezogener Daten zu verhindern;
• Unterrichtung des DSB über jede Verarbeitung personenbezogener Daten innerhalb ihrer Fakultät, ihres interdisziplinären Zentrums oder ihrer Abteilung sowie über jede Änderung der Art dieser Verarbeitung und der damit verbundenen Verfahren;
• Sicherstellung der Einhaltung der CNPD-Verfahren für neue Forschungsprojekte oder andere Datenverarbeitungsaktivitäten im Zusammenhang mit der Verwaltung oder der Lehre, ggf. Unterrichtung des DSB und Eintragung von Informationen in das Register für den Schutz personenbezogener Daten;
• Meldung jeder Verletzung des Schutzes personenbezogener Daten an den CISO und den DSB über das Serviceportal der Universität, wenn möglich innerhalb von 24 Stunden, spätestens jedoch innerhalb von 48 Stunden nach Entdeckung der Verletzung;
• Umsetzung einer DSFA, falls erforderlich, mit Unterstützung des DSB und des CISO;
• Unterstützung des DSB bei Anfragen der CNPD oder ausländischer Datenschutzbehörden sowie bei Audits durch die CNPD oder andere Stellen (intern oder extern).

4) Datenschutzkoordinatoren sind die Ansprechpartner für den DSB und den CISO in Sachen Datenschutz in den Fakultäten, interdisziplinären Zentren und Abteilungen. Sie haben die Aufgabe:

• in Zusammenarbeit mit dem DSB und dem CISO das Bewusstsein für den Datenschutz innerhalb ihrer Abteilung, Fakultät oder ihres Forschungszentrums zu schärfen;
• Informationen zum Datenschutz zu verbreiten;
• die Einhaltung der Richtlinie zu verbessern. Diese Aufgaben können auch von einer anderen Person in der Abteilung übernommen werden.

5) Der Ethikausschuss (Ethcs Review Panel (ERP)) arbeitet bei Forschungsprojekten, die dem ERP vorgelegt werden, gegebenenfalls mit dem DSB zusammen, wenn es um Datenschutzfragen geht.

6) Autorisierte Nutzer – diejenigen, die berechtigt (und geschult) sind, bestimmte Datensysteme oder -sammlungen in Übereinstimmung mit den Richtlinien und Verfahren der Universität zu nutzen.

Anonymisierung: das Verfahren, personenbezogene Daten zu anonymisieren, sodass die betroffene Person nicht oder nicht mehr identifizierbar ist.

Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dritter: jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle als die betroffene Person, der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter und die Personen, die unter der unmittelbaren Aufsicht des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten. Im öffentlichen Sektor bezieht sich ein Dritter auf ein Ministerium, eine Verwaltung, eine öffentliche Einrichtung, eine regionale Behörde oder einen öffentlichen Dienst, der nicht der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ist.

Drittland: ein Land, das nicht zu den Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums gehört. Die DSGVO besagt, dass personenbezogene Daten nur dann in Länder außerhalb der EU und des EWR übertragen werden dürfen, wenn ein angemessenes Schutzniveau gewährleistet ist. Die DSGVO verlangt, dass Daten nicht in Nicht-EU-/Nicht-EWR-Länder übertragen werden dürfen, die kein angemessenes Schutzniveau gewährleisten. Es können jedoch Ausnahmen (oder „Abweichungen“) von dieser Regel gelten.

Einwilligung der betroffenen Person: jede aus freien Stücken, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person, mit der sie selbst oder ihr gesetzlicher, gerichtlicher oder satzungsmäßiger Vertreter ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten erklärt. Diese Zustimmung muss durch ein Formular zur informierten Zustimmung dokumentiert werden.

Empfänger: eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. Behörden, die personenbezogene Daten im Rahmen einer gerichtlichen Untersuchung erhalten können, gelten nicht als Empfänger.

Für die Verarbeitung Verantwortlicher eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; wenn die Zwecke und Mittel einer solchen Verarbeitung durch nationale oder EU-Gesetze oder -Verordnungen festgelegt sind, können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch nationale oder EU-Rechtsvorschriften bestimmt werden.

Genetische Daten: alle Daten, die die erblichen Merkmale einer Person oder einer Gruppe verwandter Personen betreffen.

Gesundheitsdaten: alle Informationen über die körperliche oder geistige Gesundheit der betroffenen Person, einschließlich genetischer Informationen.

Personenbezogene Daten: alle Informationen jeglicher Art, unabhängig vom Datenträger, einschließlich Bild-, Ton- oder Videomaterial, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Ein Beispiel für pseudonymisierte Daten sind Daten, bei denen die personenbezogenen Informationen (Name, Nachname) durch einen Code ersetzt wurden, um die Identifizierung der betroffenen Person zu verhindern.

Sensible personenbezogene Daten oder besondere Datenkategorien: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, Daten über Gesundheit oder Sexualleben sowie genetische Daten. Sensible personenbezogene Daten unterliegen einer strengeren gesetzlichen Regelung.

Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit im Zusammenhang mit der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

Die Europäische Kommission kann feststellen, ob ein Land außerhalb der EU oder des EWR ein angemessenes Datenschutzniveau bietet und einen Angemessenheitsbeschluss in Bezug auf dieses Land erlassen. Eine solche Entscheidung hat zur Folge, dass personenbezogene Daten aus den 28 EU-Ländern und drei EWR-Mitgliedsländern (Norwegen, Liechtenstein und Island) in dieses Drittland übermittelt werden können, ohne dass weitere Schutzmaßnahmen erforderlich sind. Die Kommission hat bisher Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay und die USA (beschränkt auf das Privacy-Shield-Rahmenwerk) als Länder mit angemessenem Schutz anerkannt.